Der AppSuite PDF Editor tarnt sich als funktionaler PDF-Editor, entpuppt sich bei genauer Analyse jedoch als hochentwickelter Trojaner mit Backdoor-Funktionalität. Die Malware ermöglicht es Angreifern, Systeme persistent zu kompromittieren, sensible Daten zu exfiltrieren und beliebige Befehle auszuführen. Sicherheitsanalysen zeigen, wie Bedrohungsakteure legitime Software imitieren, um die Erkennung durch Sicherheitslösungen zu umgehen.

Tarnung und Verbreitung

Die Malware wird über hoch bewertete Websites verbreitet, die wie seriöse Downloadportale wirken. Nutzer laden einen MSI-Installer herunter, der das Programm im Verzeichnis %USERPROFILE%\PDF Editor installiert. Nach Ausführung öffnet sich eine scheinbar harmlose GUI für die PDF-Bearbeitung, die intern einen Browser verwendet und die URL hxxps://pdf-tool.appsuites(dot)ai anspricht. Dabei prüft die Malware den User-Agent des Browsers, um sicherzustellen, dass die Benutzeroberfläche korrekt dargestellt wird.

Die Hauptkomponente ist die obfuskierte Electron-Anwendung pdfeditor.js. Nur ein sehr kleiner Teil des Codes dient tatsächlich der PDF-Anzeige; der Großteil implementiert Backdoor- und Adware-Routinen. Dieser Aufbau ermöglicht eine effektive Tarnung, während die eigentlichen Angriffe im Hintergrund ablaufen.

Auffällig ist zudem die Taktik der Angreifer, die Malware als „false positive“ bei Antivirus-Anbietern einzureichen, um eine Entfernung der Erkennung zu erzwingen. Auf diese Weise wird die Software von Sicherheitslösungen zunächst als potenziell harmlos eingestuft, obwohl sie bereits aktiv Systeme kompromittiert.

Funktionsweise der Backdoor

Die Malware implementiert mehrere Routinen, die unterschiedliche Aufgaben erfüllen:

• --install: Registriert das System beim Command-and-Control-Server (C2), erzeugt eine Installations-ID (iid) und eine System-ID (SID) und legt geplante Aufgaben an: PDFEditorScheduledTask für einmalige Prüfungen (--check) und PDFEditorUScheduledTask für wiederkehrende Aktionen (--ping). Diese Verzögerung dient dazu, Sandbox-Analysen zu umgehen.
• --ping: Baut eine verschlüsselte Verbindung zum Server auf, verschlüsselt Aktionsanforderungen via AES-128-CBC mit einem Schlüssel, der aus der Installations-ID abgeleitet wird. Die Malware erhält Befehle zurück, die das Überwachen von Prozessen, Auslesen von Dateien und Registry-Einträgen sowie Nachladen zusätzlicher Malware ermöglichen.
• --check und --reboot: Nutzen dieselbe interne Funktion; --reboot beendet zusätzlich bestimmte Prozesse. Um Mehrfachausführungen zu verhindern, prüft die Backdoor eine State-Datei im Nutzerprofil. Ist diese jünger als 15 Minuten, beendet sich das Programm automatisch.
• --cleanup: Soll die Backdoor scheinbar entfernen, löscht jedoch nur bestimmte Aufgaben. Persistente Backdoor-Komponenten und nachgeladene Malware bleiben erhalten, sodass eine vollständige Bereinigung nur durch eine Neuinstallation des Systems („Repaving“) möglich ist.

Datenmanagement und C2-Kommunikation

Die Backdoor verwaltet zwei Logdateien: LOG0 und LOG1. LOG1 enthält die Installations-ID, SID sowie später extrahierte Schlüssel von Browsern. LOG0 dient vermutlich Debugging- oder Manipulationszwecken durch die Angreifer. Ohne gültige Installations-ID bricht die Malware die Ausführung ab.

Über die Bootstrap-Funktion „GetRtc“ lädt die Backdoor Konfigurationsdaten vom C2-Server. Zur Authentifizierung verwendet sie einen AES-256-CBC-Schlüssel, der aus einem fest kodierten e-key und der Installations-ID abgeleitet wird. Die Antwort des Servers liefert unter anderem:

• Pfade zu Anwendungen und Profilen (z. B. Wave, Shift, OneLaunch, Chromium)
• Befehls-Templates, die flexibel über cmd.exe oder reg.exe ausgeführt werden können
• Boolean-Flags, die spezifische Handler aktivieren

Durch diese Mechanismen sind die Angreifer in der Lage, beliebige Remote-Befehle auszuführen und die Backdoor-Funktionalität dynamisch zu steuern.

Browser- und System-Exfiltration

Spezifische Handler greifen gezielt auf installierte Browser zu:

• Chromium-basierte Browser (Edge, Chrome etc.)
• Wave Browser
• Shift Browser
• OneLaunch

Die Handler extrahieren Passwörter, Cookies, Browsereinstellungen und Historien, manipulieren Registry-Werte, ändern Pref-Dateien und synchronisieren sie mit dem C2-Server. Zusätzlich können sie gezielt gespeicherte Schlüssel auslesen und in LOG1 sichern.

Mit diesen Funktionen kann die Malware:

• sensible Daten auslesen und exfiltrieren
• Browser-Konfigurationen verändern
• persistente Autorun-Routinen erzeugen
• weitere Schadsoftware nachladen

Alle Aktionen werden über ein verschlüsseltes Event-Logging-System protokolliert und an den C2-Server gesendet. Dies ermöglicht den Angreifern eine kontinuierliche Überwachung der Backdoor-Aktivitäten.

Sicherheitstechnische Bewertung

Die Analyse zeigt eindeutig, dass AppSuite PDF Editor keine harmlose Software, sondern ein klassischer Trojaner mit Backdoor-Funktionalität ist. Der sichtbare PDF-Editor dient lediglich der Tarnung. Die Malware schafft persistente Zugriffsrechte, erlaubt kontrollierte Fernsteuerung und kann sensible Daten kompromittieren.

Besonders kritisch ist die Taktik, die Software als „false positive“ bei Sicherheitsanbietern einzureichen. Dies verzögert die Erkennung durch Sicherheitslösungen und erschwert die präventive Abwehr.

Für infizierte Systeme gilt: Eine vollständige Entfernung der Backdoor ist nur durch Neuinstallation des Betriebssystems sicher möglich. Der Einsatz des integrierten Uninstallers reicht nicht aus, da persistente Tasks und nachgeladene Malware bestehen bleiben.

Fazit

AppSuite PDF Editor verdeutlicht die Gefahren getarnter Malware, die legitime Software imitiert, um unbemerkt Systeme zu kompromittieren. Organisationen und Anwender sollten die Software als Malware einstufen und kostenlose PDF-Tools aus unbekannten Quellen kritisch hinterfragen. Die Analyse unterstreicht die Notwendigkeit, die Kombination aus Dateiüberwachung, Netzwerk-Monitoring und Incident-Response-Prozessen zu nutzen, um solche Bedrohungen frühzeitig zu erkennen.